本系列文章，主要通过对监管单位通报的违规点进行分析，以便开发者能通过文章内的分析内容，尽可能的降低违规风险。

APP强制、频繁、过度索取权限，谁动了用户的隐私？

从近年来工信部的通报结果中，不难发现，APP涉嫌强制、频繁、过度索取用户权限在通报的问题中占据着极大比例。

“APP技术霸凌”主要表现为：安装时要求权限过多、APP没有必要使用的权限却还是需要用户提供、用户明确拒绝权限之后又反复多次索取。

为了帮助大家进一步理解APP强制、频繁、过度索取用户权限，以下例举几个典型的场景：

# 强制索取权限

APP首次启动时，向用户索取录音权限，用户选择拒绝授权，应不影响用户进入APP并使用APP，但实际表现却为APP直接退出或者无法进入。

# 频繁索取权限

用户明确拒绝了相机权限申请，之后在APP运行期间，即使用户并未使用到必须使用相机权限的业务场景，但APP仍频繁弹出弹窗向用户索取相机权限。

# 过度索取权限

APP未提供与日历权限相关的业务或服务，例如签到、打卡等，但仍向用户申请了日历权限。

《信息安全技术个人信息安全规范》指出：移动互联网应用个人信息收集活动，应当遵循权责一致、目的明确、选择同意、最小必要、公开透明、确保安全、主体参与这七项个人信息安全基本原则。

部分APP在隐私政策内容中关于权限的申明方面已经基本符合整改要求，在“最小必要”与“目的明确”原则上，有部分APP仍不够完善。

“目的明确”原则指的是APP向用户明示收集使用个人信息的目的、方式和范围，且收集的个人信息及申请的权限应具有合法、正当、必要、明确的收集使用目的和业务功能。

“最小必要”原则指的是不收集与APP提供的服务无关的个人信息，不申请打开可收集无关个人信息的权限，而是只收集满足业务功能所必需的最少类型和数量的个人信息，自动收集个人信息的频率不超过业务功能实际所需的频率。

相比于iOS系统提供的“APP运行时使用/始终开启/不开启”这三个选项，安卓系统的隐私选项粒度较粗，绝大多数用户只能选择“开启”或“关闭”，这意味着一旦授予后，该权限并不会随应用状态的改变(进入或退出使用状态)而发生变化。

只要拿到相关权限，APP可能在正常提供相关服务的同时，“顺手”获取用户的隐私数据，不管这些数据是否属于“服务必需之外”。

因此，个人信息的使用无论是软件开发者、公司或机构都要遵循相关法律法规，否则，一旦涉嫌用户信息不当使用都要承担相应后果。

我们接着聊「欺骗误导强迫用户」

App陷阱防不胜防：欺骗误导用户下载App、欺骗误导用户提供个人信息

有些App里总会存在各式各样的陷阱让人防不胜防，我们来看315曝光的一个案例：

70多岁的李女士通过智能手机看新闻、小说时，手机屏幕总会自动蹦出一些“安全提示”：“病毒”“垃圾”“内存严重不足”，李女士按照提示清理了手机，但她发现这些“安全提示”越清理越多，手机越用越慢。

经专家测试发现，在某小说阅读App里，正常阅读过程中出现了“安全清理”提示，点击后下载安装了一款“xx内存优化大师”的App，自动清理过程中又继续弹出“清理手机缓存”提醒，点击后，手机又下载安装了“xx超强清理”App。不断“提醒、下载、清理”，同样路径接力重复，手机上接着又安装了“xx清理大师”和“xx手机管家”。

然而对“xx手机管家”进行测试后发现，这款App表面上看起来是在清理手机垃圾，背地里实则在大量获取手机里的信息。这些数据信息对老人们进行用户画像，给他们打上“容易被误导和诱导”的群体标签。于是，各种低俗、劣质，甚至带有欺骗套路的广告和内容就会源源不断地推送到手机上，使得一些老年人上当受骗。

看完案例，我们回归正题。欺骗误导用户下载App如何定义？

在《工业和信息化部关于开展纵深推进App侵害用户权益专项整治行动的通知》第三条第三款指出，要“重点整治通过‘偷梁换柱’、‘移花接木’等方式欺骗误导用户下载App，特别是具有分发功能的移动应用程序欺骗误导用户下载非用户所自愿下载App的行为”。

这里为开发者归纳了几个合规要点：

关闭按钮要清晰

针对信息窗口“找不到，关不了”的问题，App在用户终端弹出广告或者其他与终端软件功能无关的信息窗口的，应当以显著的方式向用户提供关闭或者退出窗口的功能标识。不应提供虚假、无效、标识不明显的关闭选项。

针对欺骗误导强迫点击跳转的问题：

不得欺骗误导用户跳转，App不应以欺骗、误导或者强迫等方式向用户提供互联网信息服务或产品，例如：开屏广告中不得以整屏图片作为跳转链接。

申请跳转同意提示要显著， App信息窗口页面，存在跳转、使用第三方的行为时，应以显著方式并经用户主动选择同意。不应存在欺骗误导强迫用户跳转的文字、图片或视频链接。

针对欺骗误导强迫下载、安装、使用App的问题：

申请下载安装同意提示要显著，App信息窗口页面，下载、安装、使用第三方App时，应以显著方式明示，并经用户主动选择同意。

不得出现诱导性词汇，App信息窗口页面不应存在通过“偷梁换柱”、“移花接木”等方式欺骗误导强迫用户下载、安装使用第三方App的行为，如在未明示下安装App的情况下，出现诱导性词汇，常见诱导性词汇有：“是否立即开始游戏”、“领取红包”、“手机卡顿”、“耗电太快”、“内存已满”、“网络断开” 等。

用户可以暂停终止下载安装行为，用户暂停或取消非主动点击触发下载、安装App，关闭并重新运行本App后，被用户暂停或取消下载、安装的App不应自动恢复下载安装。

App信息窗口页面，下载、安装的App不应与向用户所做的宣传或者承诺不一致。

那么另一欺骗误导用户的行为表现，欺骗误导用户提供个人信息又是如何定义的呢？

是指非服务所必需或无合理场景，通过积分、奖励、优惠等方式欺骗误导用户提供sfz号码以及个人生物特征信息的行为。

合规要点

App广告页面、开屏广告、主屏等无需个人信息场景的功能页面，不应存在以积分等方式欺骗误导用户提供身份z号、人脸、指纹等个人信息的行为。

因此，我们需要参照以上要点所提及的合规做法认真执行，来维护用户的知情权、自主选择权和公平交易权。

本期暂且说到这儿

下期我们接着聊

「强制用户使用定向推送功能」

欢迎关注公众号“网云安全”

转载请注明来自网盾网络安全培训，本文标题：《App合规那些事儿（四）APP强制、频繁、过度索取权限，谁动了用户的隐私？》

标签：数据安全app安全隐私合规App合规App安全合规检测